这是一个创建于 3881 天前的主题,其中的信息可能已经有所发展或是发生改变。
chinadns
pdnsd
dns security
...
不说难易程度,单说疗效。
毕竟只要成功配置一次,就不用一直折腾了。
请大家分享一下心得,谢谢。
pdnsd
dns security
...
不说难易程度,单说疗效。
毕竟只要成功配置一次,就不用一直折腾了。
请大家分享一下心得,谢谢。
第 1 条附言 2020-02-05 12:00:04 +08:00
本人稳定使用二年多的方案如下:
dns2socks:把 DNS 请求转发到本地 socks5 监听端口
dnsmasq with regex support:维护一份域名关键字列表,解析服务器指向 dns2socks。
不在关键字列表中的域名默认采用 ISP 提供的 DNS。
说明:
1. 这样做的好处是,任何采用 CDN 部署的大站解析出来的 IP 都有速度加成。
2. 以上走 socks5 的解析流程有延迟,把 dnsmasq 的缓存时间设置为 1 小时,1 小时内发起相同的请求都是秒解析。
dns2socks:把 DNS 请求转发到本地 socks5 监听端口
dnsmasq with regex support:维护一份域名关键字列表,解析服务器指向 dns2socks。
不在关键字列表中的域名默认采用 ISP 提供的 DNS。
说明:
1. 这样做的好处是,任何采用 CDN 部署的大站解析出来的 IP 都有速度加成。
2. 以上走 socks5 的解析流程有延迟,把 dnsmasq 的缓存时间设置为 1 小时,1 小时内发起相同的请求都是秒解析。
 | 1 chztv 2015-02-25 11:27:56 +08:00  1 我用Chinadns,感觉还行 |
 | 2 hahahasnoopy 2015-02-25 12:46:57 +08:00 请问怎么看dns是否纯净,我在用360dns,希望不会被鄙视 |
 | 3 loading 2015-02-25 12:48:29 +08:00 现在在用阿里 223.5.5.5 223.6.6.6 |
 | 4 bugmenott 2015-02-25 12:48:34 +08:00 用1.2.4.8会不会被鄙视 |
 | 5 bobopu 2015-02-25 12:49:49 +08:00 via iPhone 在国内就别想着纯净了,家里扫的再干净,一出门遍地都是屎,这样的纯净图个心理安慰罢了。 |
 | 6 br00k 2015-02-25 12:50:25 +08:00 ChinaDNS+shadowvpn 路由上很安逸。 碰到的问题就是shadowvpn经常无响应,进程也没挂,重新restart一下又好了。 |
 | 7 RyuZheng 2015-02-25 12:54:39 +08:00 via Android @hahahasnoopy 我家这里的360dns被绑架了,一改就有广告,反而用自动的dns没问题,现在用阿里的,因为有好多网页打不开。我的是广东移动 |
 | 8 liuchen9586 2015-02-25 12:55:33 +08:00 自建DNS |
 | 9 bdnet 2015-02-25 12:56:21 +08:00 ChinaDNS + ss + openwrt 秒开很爽 |
| 10 chztv 2015-02-25 12:56:56 +08:00 @hahahasnoopy Ping一个Twitter Facebook看一下返回的IP是不是正确的 |
 | 11 typcn 2015-02-25 12:58:47 +08:00 via iPhone 5 ChinaDNS 解析一个域名半分钟真有人受得了? 我现在全程 DNSCrypt 路由器跑 DNSCrypt 然后 Dnsmasq 缓存 |
 | 12 hzqim OP |
 | 13 davidzhang 2015-02-25 13:19:18 +08:00 360dns |
 | 14 byyhku 2015-02-25 13:42:42 +08:00 @liuchen9586 你用什么搭建 ? BIND? |
 | 15 ScotGu 2015-02-25 13:59:03 +08:00 在我大天朝想用纯净的DNS? 自建的都不一定纯洁了。 |
 | 16 yanqian 2015-02-25 14:04:31 +08:00 @chztv @bdnet 我也是用Ali DNS,请问ChinaDNS是什么?搜索了下,是指下面这个么? https://github.com/clowwindy/ChinaDNS 感觉还好复杂的样子。 |
 | 17 skpoo 2015-02-25 14:14:48 +08:00 1 |
 | 19 66450146 2015-02-25 14:18:47 +08:00 只用 dnsmasq-china-list,国外用 OpenDNS#5353 |
| 20 typcn 2015-02-25 14:22:27 +08:00 |
 | 21 LazyZhu 2015-02-25 15:00:45 +08:00 via iPhone 1 目前既能解决DNS污染又无CDN的方案就只有chinadns的压缩指针 |
 | 22 zhengkai 2015-02-25 15:07:15 +08:00 做 socks5 隧道,本地 pdnsd 通过隧道访问 linode 的 DNS,绝对无污染,速度也能接受 |
 | 23 cnkuner 2015-02-25 15:15:34 +08:00 via Android 在用阿里。 |
| 24 bdnet 2015-02-25 15:25:15 +08:00 |
 | 25 TinyBBC 2015-02-25 15:27:13 +08:00 我用的pdns和ChinaDNS相配合,不要问我为什么这么干,我也不知道。。。 感觉pdns比DNSCrypt要稳定一点,整体上来说,用户体验还好,首次解析一个域名还真是慢,好在还存起来以后就好了 |
 | 26 Oi0Ydz26h9NkGCIz 2015-02-25 15:27:36 +08:00 在用onedns |
 | 27 moenayuki 2015-02-25 16:42:46 +08:00 非53端口的境外 DNS 不就行了…… |
 | 28 bjdchwr 2015-02-25 16:44:13 +08:00 直接走VPN+路由表出国,用8.8.8.8,我是这么用的 不用担心污染 |
 | 29 chengr28 2015-02-25 17:02:13 +08:00 2 @LazyZhu 话不要说的这么绝对……现在还有个方法是利用污染的都是国外的地址,对境内的 DNS 服务器解析结果进行过滤,解析到是境外的地址就马上丢弃解析结果再请求境外的 DNS 服务器 这事简单得很 |
 | 30 halczy 2015-02-25 17:32:00 +08:00 via iPhone HE Tunnel + IPv6 保证纯净。 |
| 31 liuchen9586 2015-02-25 17:35:14 +08:00 @byyhku dnsmasq,然后把中国前500的网站DNS请求丢给114DNS处理,其他的统统走加密隧道到8.8.8.8 |
| 32 LazyZhu 2015-02-25 17:53:48 +08:00 @chengr28 "现在还有个方法是利用污染的都是国外的地址,对境内的 DNS 服务器解析结果进行过滤,解析到是境外的地址就马上丢弃解析结果再请求境外的 DNS 服务器" 这个不就是chinadns的方法? 不需要"还有"吧! 请教下,除了chinadns还有哪个软件? chinadns用的压缩指针,可以不用tunnel/非53端口/DNSCrypt等方法 分境内外多个dns查询就类chinadns的delay, 我也成功在pdnsd打补丁实现了类似的功能: https://github.com/clowwindy/ChinaDNS/issues/63#issuecomment-73098044 |
| 33 chengr28 2015-02-25 17:59:11 +08:00 1 @LazyZhu 行啦行啦知道你厉害了……你可以看看这个 https://github.com/chengr28/Pcap_DNSProxy 连压缩指针都不用搞,直接请求,直接就能把污染的结果过滤掉不更好?压缩指针也不是每个服务器都支持的。可惜了精力有限只搞了 Windows 版的唉…… |
| 34 chengr28 2015-02-25 18:01:46 +08:00 1 Delay 最大的问题还是不确定因素太多,上面也有说了延迟了半分钟都拿不到结果的 能直接过滤都是最好的方法……不过怎么说都是旁门路数,总之这年头都不容易就是了 不用这么动气的 |
 | 37 zihao1123 2015-02-25 18:32:22 +08:00 个人用的114dns 感觉还ok |
| 38 chengr28 2015-02-25 19:23:35 +08:00 1 @LazyZhu 现在默认是用这个……不过其实还有几个类似歪门邪道的方法,例如 EDNS0 之类,不过比较麻烦是 CDN 的问题,除了刚才说的那个,还有白名单域名列表外貌似也没有什么更好的方法了……或者如果有可以拿出来一起研究下w |
 | 40 maxchen 2015-02-25 20:08:23 +08:00 |
| 41 maxchen 2015-02-25 20:11:15 +08:00 @maxchen All servers have DNSCrypt configured on all its IP addresses and ports 54, 443, 1053, 1194, 5353, 8080 and 27015. |
 | 42 DearTanker 2015-02-25 20:11:23 +08:00 一直114不动摇。。。 |
 | 43 Helen 2015-02-25 20:40:08 +08:00 8 中科大的DNS,无污染速度也快。 202.141.160.99 202.141.176.99 |
 | 44 Actrace 2015-02-25 20:45:49 +08:00 1 不知道楼主是为了避免运营商劫持还是什么的,如果是为了避免运营商劫持,那用非53端口的dns服务器基本就能解决问题了。最好还是要在国内,否则很大程度上会消耗大量时间在域名解析上。 |
 | 45 Daniel65536 2015-02-25 20:55:06 +08:00 `目前既能解决DNS污染又无CDN的方案就只有chinadns的压缩指针` 其实黑名单PAC才是最方便的,没有CDN的问题,至于压缩指针,这个太容易被封掉了。 |
| 46 hzqim OP |
 | 47 kuxiazi 2015-02-25 21:16:38 +08:00 via iPhone 一直用运营商的也没啥感觉 |
 | 48 leafof 2015-02-25 21:33:12 +08:00 via iPhone chinaDNS 经常有延迟,比如百度,有时候要等上七八秒才会打开,有时候也正常。 |
 | 49 billwang 2015-02-25 22:32:02 +08:00 用电信的,诺顿的做备用。 |
 | 51 rootroot 2015-02-26 00:11:38 +08:00 路由器dnsmasq 电脑dnscrypt+host 无压力 |
 | 52 0Shaka 2015-02-26 00:15:58 +08:00 8888/8844 |
 | 53 datou 2015-02-26 00:21:00 +08:00 ipv6 dns绿色环保无污染 |
 | 54 zlpd 2015-02-26 01:08:30 +08:00 114的感觉还不错 |
| 56 br00k 2015-02-26 04:08:59 +08:00 @ibcker 偶尔出现访问国外的网站无响应,去路由restart一下shadowvpn服务就好了。我去看进程是没挂的,路由重启以后出现的概率很高。 |
 | 57 fortunezhang 2015-02-26 08:18:52 +08:00 114.114.114.114 |
 | 60 yingluck 2015-03-13 17:32:23 +08:00 @chengr28 我想了一下。对IP来说,国内的少国外的多,国内使用国内的多国外的少,IP查找匹配肯定慢。有时候DNS投毒,对twitter污染的IP有可能是国内的,这样就出错了。觉得还是国内域名top500走白名单比较靠谱。 |
| 61 chengr28 2015-03-13 19:07:37 +08:00 @yingluck 说慢也不慢……如果只是给几个客户的域名请求(例如一个家庭几个人几个设备)做匹配都是瞬间的事情……起码比网络 I/O 快多了 =_/= |
| 64 bdnet 2015-03-27 21:18:02 +08:00 @primroses china dns-c 改名了叫 ChinaDNS 你用的最新版本? 我参考这篇文章弄的: https://cokebar.info/archives/664 |
 | 65 kiah 2015-04-01 15:34:42 +08:00 用百度的 不会被鄙视吧 |
| 66 yingluck 2015-05-23 15:04:05 +08:00 @chengr28 使用TTL的原理是这样吗? 墙抢答的DNS responce到本地的路由跳数少,TTL大。境外DNS返回的DNS应答经过的TTL跳数多,TTL偏小。隔一段时间就发送心跳包测量到境外DNS的TTL,然后把TTL不符的都丢掉? 那使用境外DNS怎么解决国内CDN分配的问题? 还有一个问题就是境外DNS缓存的IP是不是是DNS所在地访问效果最好的IP? |
| 67 chengr28 2015-06-01 13:34:35 +08:00 1 @yingluck 伪造的包 TTL 是随机的…… CDN 只能先请求境内的,用类似路由表的方法识别了,这个上面有说过 不清楚,不过现在权威服务器支持 EDNS Client Subnet 的不少,应该是可以把客户端地址提交去 NS 那边的 |
 | 68 kawaii303 2016-04-09 23:32:11 +08:00 @chztv 用中科大 dns 查询 twitter 和谷歌都是正确的 ip ,用 114 查询给我解析到阿塞拜疆去了,看来还是中科大 dns 干净一点 |
 | 69 ponyxx 2017-08-14 00:30:28 +08:00 via Android 1 为何不试试 BAI DNS http://baidns.cn 支持 ecs,比 114,阿里等等都要干净。 |
Select Language